La sixième édition de la conférence Parisienne Hakito Ergo Sum s’est déroulée fin octobre, tout comme l’an passé dans un amphithéâtre de la Cité des Sciences de La Vilette. Quelques jours après Hack.Lu, quelques jours avant GreHack, il en faut, de l’endurance, pour suivre l’actualité InfoSec Européenne. HES, cette année, faisait essentiellement se succéder des chercheurs du domaine « pure software » et « infrastructure ». Le domaine des ondes radio ou des vulnérabilités matérielles n’était cette fois présent qu’en filigrane.
Et c’est le célèbre « FX » qui a ouvert le feu, avec une conférence plénière très « plénière », c’est-à -dire non technique, divertissante et instructive pour ceux qui avaient quelque peu oubliés leurs cours de génétique. Le chef de file du groupe Phenoelit, assisté d’une authentique biologiste, établissait parallèles et analogie entre le monde du hacking et le fonctionnement du noyau cellulaire.
A peine le temps de se remettre de ce changement d’univers que Camille Mougey et Xavier Martin, du CEA plongeaient l’assistance dans le labyrinthe parfois très ténébreux du machine learning appliqué à la recherche massive d’indice. La cible choisie pour les besoins de la démonstration était un vieux routier des vulnérabilités Scada, le protocole de contrôle de processus industriel Modbus et ses points d’entrée visibles sur Internet. Zmap, MassScan facilitent la collecte de ce genre de « Google hacking » dopé aux stéroïdes. Mais il en faut plus pour que cette collecte soit exploitable. Notamment être capable de filtrer les résultats par pays, par densité des réponses, par indice de plausibilité également, car il existe « aussi » des honeypots chargés de détecter des chasseurs de ports Modbus. Les représentations en nuages de points « 3D » générées par le moteur d’analyse des deux chercheurs parviennent alors à raconter des choses insoupçonnées, à isoler les « faux » sites, à mettre en exergue les installations les plus vulnérables ou les plus importantes, classées par emplacements géographiques. Le Machine Learning appliqué au scan réseaux massif pourrait bien devenir le cauchemar des OIV, la terreur des zones classées Seveso. Il y a un an environ, il n’était de meilleurs articles alarmistes que ceux traitant de Shodan, la très imparfaite base de données IoT mondiale. Que l’on attende encore quelques années le temps que l’Internet des Objets et ses vulnérabilités se développent réellement, et l’on pourra alors craindre le numéro de duettistes d’un super-Shodan et d’un moteur d’analyse « big data » offensif tel que celui présenté par Mougey Martin.
Olivier Levillain et Pierre Chifflier (Anssi) ont enchaîné dans les méandres des incohérences intrinsèques aux langages. Opérations arithmétiques ou logiques aux résultats défiant la raison, égalités qui ne sont plus égales, additions aux résultats incohérents, les deux chercheurs ont passé au crible Java et Javascript, PHP, Python, Ruby… Ce genre de présentation rappelle les travaux de plusieurs chercheurs du MIT qui, en 2013, s’étaient penchés sur les résultats surprenants d’un source passé à la moulinette de certains compilateurs (Python, C++…).
S’il est difficile de voir en ces défauts un risque d’exploitation direct, c’est, à n’en pas douter, un vecteur certain de bugs fonctionnels généralement inexplicables. L’on remarquera au passage qu’après la présentation très médiatisée de deux autres chercheurs de l’Anssi à l’occasion de Hack in Paris, c’est la seconde fois que l’Anssi expose ses talents et son savoir-faire durant une conférence sécurité parisienne. Il est important qu’une institution gouvernementale vienne apporter tout son crédit à des « conférences de hackers ».